我国《民法典》第127条肯定了数据为财产权益，但对数据财产权及其具体形式和规则做了留白处理。

　　数据之所以能够成为财产权的客体，是因为大数据技术和产业的发展均以数据为基础，从而使得数据成为数字经济发展的核心要素。讨论数据财产权首先需要界定数据的内涵，尤其是数据与信息、个人数据与个人信息之间的区别。

　　我国国家标准参照国际标准化组织的定义认为，数据是指信息的可再解释的形式化表示，以适用于通信、解释或处理。

　　《数据安全法（草案）》第3条规定：数据，是指任何以电子或非电子形式对信息的记录。数据的本质是信息的载体，而信息是知识来源，知识则可以产生智慧能力。数字经济时代，数据应是对已知或者未知信息（连同元数据）的数字描述，且在技术上能够成为数字运算（处理、存储与传输）的对象，是以可机读方式存在的电子化信息记录。

　　基于概念的比较可以发现，欧洲地区流行的“数据保护”，与在美国所使用的“隐私”或者“个人信息保护”指代了基本相同的内涵。

　　从概念发展史看，个人数据是从隐私权中发展而来，20世纪70年代在欧洲召开的多次人权会议就已经认识到计算机技术大规模处理数据带来的隐私风险，但数据不等于隐私或个人信息本身。

　　在经济合作与发展组织（OECD）于1980年发布的《跨境数据流动与隐私保护指南》中，个人数据（personal data）被定义为已经或者能够识别到特定个人的任何信息，然而其适用对象仅限于自动化处理的个人数据，其保护的目标是隐私和个人自由。据此，数据强调的是客观存储在计算机系统中的事物，而隐私和个人信息则是数据或者其他载体所揭示的人格内容。

　　换言之，电子数据是人类发明的一种符号，不因人的认识不同而不同，因此客观性强；而信息则是符号所反映的内容，强调的是人对于数据的认识，因而具有一定的主观性。作为人格权客体的个人信息，其保护的内容是其所反映的与特定个人有关的人格利益，而作为财产权客体的（个人）数据所保护的，则是经过电子化设备采集而形成的客观存在物。

　　《欧盟通用数据保护条例（GDPR）》中的 “个人数据”和“个人信息”（personal information）是互相证成的同一概念，二者不做区分，故而其规定中存在个人数据可携带权这类财产权能。但是，对于个人信息和个人数据的混用，会导致数据财产权制度的构建困难，已经引发了一些欧洲学者的批评。

　　我国《民法典》构建的个人信息与数据相区分的差序体系，其中个人信息位于《民法典》第111条处于第110条各种具体人格权和第112条身份权之间，其在民法典第四编人格权编中通过第1034条至第1039条6个条文对个人信息进行了较为详尽的人格法益保护体系构建；而数据则是在《民法典》第127条中与虚拟财产并列作为一种财产权确立下来，这一思想需要在《数据安全法》《个人信息保护法》等相关法律法规中进一步落实。

　　个人数据能否成为财产权的客体是数据财产权构建的关键问题。

　　隐私权倡导者认为，对任何数据的控制都意味着对个人信息的控制风险，如果企业可以通过财产权来控制这些个人数据，则几乎不可能保护个人的隐私权。这种推理就会得出非常激进的结论：信息与数据是一体两面，以至于企业不能控制个人数据，控制数据就控制了隐私，个人数据不应该进行交易，交易个人数据就是交易个人信息。

　　新一代信息技术成果的落地主要是服务于人，所以与个人有关的数据利用、共享和交易普遍且必要。国际市场中数据交易中间商所处理的主流数据也大多是与个人有关的数据，美国联邦贸易委员会定义的“数据经纪人”（data broker）则专指收集消费者个人数据并转售或与他人共享该数据的公司。欧盟消费者保护专员梅格丽娜·库列娃也曾宣称，个人数据将成为新的“石油”，是21世纪的宝贵资源，它将作为一种新的资产类别出现。

　　与此同时，个人数据和非个人数据之间的界线并不清晰，现在被视为非个人数据的数据可能会由于技术预判错误而可追溯为个人数据。

　　随着数据处理技术的进步和可用于分析的数据量增加，绝对和不可逆的匿名化将不再可能，大数据分析技术会使得可识别数据和不可识别数据之间非此即彼的区别变得毫无意义。因此，将个人数据排除在财产权的客体之外，不符合数据要素市场发展需求的实际情况。

　　显然，对个人数据和个人信息进行区别处理才是厘清数字权利体系的关键：个人信息属于人格权益的范畴，以人格属性的内容作为保护对象；而个人数据则是将个人信息以电子化形式记录的客观存在作为保护对象，属于财产权范畴。这一区分可以避免人格权和财产权之上不同价值的直接冲突，其中个人数据财产权侧重于静态固定下来的电子记录，而不是动态反映个人特征的信息内容。我国《民法典》立法者明确区分了个人信息和数据，将二者分置于第111条和第127条，从而将个人信息作为人格权益的客体加以保护，而数据则被划入了财产权的范畴。只不过，《民法典》在“人格权编”对个人信息进行了专章规定，但是“物权编”对数据财产的保护却付之阙如。

　　《民法总则》之前的立法并未区分“数据”和“个人信息”，早期的数据财产经常被纳入个人信息加以保护，但随着数字经济的迅猛发展，数据必然要与信息相分离并成为法律所关注的独立权利客体，类似载体与作品的区分。在数据之上构建科学的权利体系，将个人信息列入人格权益保护，不仅具有逻辑基础，而且可以使两种权益在各自的轨道上都能得到充分保障，从而满足数字经济发展对个人信息和数据在不同层面的需求。

　　回顾法律对于财产保护的历史，由低到高分别是行为自由、权益保护和权利确认。早期对于数据的保护主要是通过刑法、反不正当竞争法等针对行为自由的规制模式，对数据进行享有安全的静态保护。

　　目前，我国《民法典》已经将数据作为一类值得保护的新型权益。由此，如何将其上升为一项权利并进行合理的权属分配，成为数据财产权理论研究和司法实践的新方向。

　　我国刑法对数据的保护始于2009年2月通过的《刑法修正案（七）》，在《刑法》第285条增设了非法获取计算机信息系统数据罪，反映了我国从计算机犯罪到互联网犯罪的递进。不过第285条属于“妨害社会管理秩序罪”，并未列入“侵犯财产罪”之下，可见此罪名保护的核心并不是数据的财产价值，而是互联网的数据安全。

　　随着个人信息相关的数据价值提升，“两高”在2017年颁布的司法解释明确规定，以违法方式出售、提供、购买、收受、交换个人信息并达到一定额度的都构成犯罪。在个人信息人格权保护体系已基本建立的情况下，如果没有数据相关的财产权支撑，则个人数据的任何购买、开放、交换都将因失去法律基础而处于极大风险之中，显然不利于数字经济的发展。

　　在清晰的产权界定缺失的情况下，反不正当竞争法为数据提供了经济赔偿的救济，具体包括商业秘密和一般条款两种保护途径。最高人民法院发布的多个典型案例确认了数据的商业秘密属性，商业秘密保护并不为其保护对象提供财产权，相关法律也仅仅是从行为规制的角度明确侵权责任，禁止非法获取、使用和披露商业秘密。也即，能够获得商业秘密保护的对象必须具有秘密性并且被采取了保密措施，在数字经济时代以此措施回应数据财产权是显著过时的，特别是对多方共享的数据、源于个人的数据、公共场所的传感器收集的数据，它们在秘密性和保密措施上均不符合商业秘密的特征。

　　在欠缺数据作为财产权的规范依据以及商业秘密的保护门槛较高的情况下，许多企业开始援引反不正当竞争法的一般条款来对抗未经授权的数据盗用行为。反不正当竞争法主要是针对特定类型的市场失灵行为，即通过事后禁止可识别的不当竞争行为来维护市场秩序，即仅可勉强提供财产损失救济，却无法为数据财产的积极利用提供充分依据。

　　随着数据系统安全和数字经济秩序重要程度的提升，刑法和反不正当竞争法确实发挥了一定的保护数据财产安全的功能，也以间接或直接的形式确认了数据财产权受法律保护的必要性。毕竟，行为规制模式主要以公共秩序为着眼点，并不直接关注数据本身的财产权地位。这种补救性治理通过被动应对的方式，实现经济秩序的矫正。其不足之处在于，无法积极主动地促进数据要素市场的发展，无法满足数据流转的独立权利机能之需要。正因此，确认数据财产权性质与权属尤显必要而急迫。

　　通过具体民事权利对数据进行保护，始于著作权法。其典型体现是欧盟在1996年发布的《欧盟数据库保护指令》，采用双重方法保护数据财产：对原创型数据库给予完全的著作权保护；对非原创型数据库给予特殊的权利保护，且权利期限为15年。但是，完全的著作权保护不适用于数据库的内容（“数据”），仅适用于其数据库结构；非原创数据库仅在“获取、验证或表示内容方面进行了定性和/或数量上的大量投资”时才适用。即便如此，欧洲法院于2005年在British Horseracing Board v. William Hill案中大大缩小了数据库的权利范围，认为通过大量投资搜集的数据不属于《欧盟数据库保护指令》的保护范围，只有数据库的原创性结构才是保护对象，所以部分调用数据库中的数据不构成侵权。

　　在Feist v. Rural案中，美国联邦最高法院也驳回了对数据安排缺乏独创性的数据库的著作权保护请求，不承认建立数据库的投资是获得著作权保护的充分理由。据此，数据库权不保护未经加工创造的原始数据，数据库的著作权保护模式也是基于静态的数据库加工技术，不再适应物联网时代的原始数据动态利用情况。我国著作权法并未将数据库作特殊对待，相关司法实践表明，原始数据因为不具有独创性而不受保护。2020年11月通过的著作权法修正案将“数字化”列入著作权的内容，更加明确我国著作权法仅仅保护具有独创性作品的数字化形式，并不包括客观记录而获取的数据。

　　相较于此，合同权利则具有极大灵活性。许多学者据此认为，提供数据服务或销售智能产品的公司可以通过合同安排，保护其商业模式以及在数据收集方面的投资，通过技术保护措施也可以排除未经授权的第三方数据访问。亦有观点主张通过信托机制以信义义务解决数据控制人与数据主体之间权利义务的不均衡配置，但同时也承认，受托人对财产的控制以及支配是信托存在和功能发挥的前提，也即委托人必须对相应的数据具有财产权。

　　其实，数据的长生命周期表明其产生过程涉及的主体数量众多，指望签署多方一致认可的合同几乎无法实现，一旦发生合同外的第三人对数据主张财产权，将产生难以解决的复杂问题。享有数据控制权的主体也无法对合同之外的人主张数据财产权，这会抑制数据对外公开乃至交易的积极性。同时，在谈判权力不平等的情况下，基于市场自由谈判形成的数据权利分配结果无法确保公平和创新激励效果。

　　最为重要的是，非财产制度不会创造普遍的权利，合同上的债权并不能完全取代数据的财产利益，因为合同的相对性导致其效力范围只能及于特定对象，而作为关系规范（Beziehungsnorm）的合同债权无法实现普遍的权利自由流转。

　　有必要对现行数据财产保护模式进行反思。在我国大力发展数据要素市场之际，数据财产权绝不能是一个模糊的灰色领域，有必要充分回应时代发展的需要，将其上升为一项独立的财产权进行保护。那种惧怕数据财产权形成数据垄断的观点忽略了现实情况：反不正当竞争法、刑法等法律法规为数据财产的事后救济提供了强有力的保护，已经不可期待通过避免赋予财产权的方式为数据自由使用（包括公开爬取乃至秘密窃取）保留出路。

　　不仅如此，在没有财产权制度的情况下，数据财产的分配规则只可能遵循弱肉强食的丛林法则，掌握实际数据控制权的主体相当于事实上的所有者。而这种事实的数据控制主体往往与技术创新主体并不一致，而且数据控制者在没有财产权依据的情况下往往不敢开展数据共享，遑论数据交易。

　　此外，数据财产权不仅是为了保护特定主体的权利，也是为了创造安全有序的商业环境，进而激励数据权利人积极地共享或者转让其合法占有的数据权利。《欧盟通用数据保护条例》的立法者认为，其创建严格的个人信息保护制度并不是禁止利用个人信息，而是创造安全的信息环境，最终增强消费者参与数字经济并共享个人信息的信心。这一宗旨同样适用于数据财产权制度的构建。

　　围绕数据的产生有诸多参与者，特别是在作为数据原发者的用户和数据处理者的企业之间，如何设定不同的权利，并依据何种逻辑在这些数据形成的参与者之间分配权利，成为当下数据权利体系构建的焦点和难点。既有研究或赋予用户数据所有权，或将所有权赋予数据集成的平台企业，这种单一赋权的思维模式造成了用户与企业的利益失衡，亟须调整思路以重构新的数据权利体系。

　　可以借鉴自物权—他物权和著作权—邻接权的权利分割模式，在数据权利体系设计上，根据不同主体对数据形成的贡献来源和程度的不同，设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，以实现用户与企业之间数据财产权益的均衡配置。

　　（作者单位：清华大学法学院。原题《论数据用益权》，《中国社会科学》2020年第11期。张征/摘）